Homepage » hogyan kell » Hacker Geek OS ujjlenyomat TTL és TCP ablakméretekkel

    Hacker Geek OS ujjlenyomat TTL és TCP ablakméretekkel

    Tudta-e, hogy kiderül, hogy melyik operációs rendszert futtatja a hálózati eszköz, csak úgy, hogy megvizsgálja, hogyan kommunikál a hálózaton? Vessünk egy pillantást arra, hogyan fedezhetjük fel, hogy milyen operációs rendszer fut a készülékeinken.

    Miért tennéd ezt?

    Számos okból hasznos lehet annak meghatározása, hogy melyik operációs rendszert használ a gép vagy eszköz. Először nézzünk meg egy hétköznapi perspektívát, képzeljük el, hogy át akarsz váltani egy új internetszolgáltatóra, aki havonta 50 dollárt kínál korlátlan interneten, így próbálkozhatsz a szolgáltatásukkal. Az OS ujjlenyomatának használatával hamarosan felfedezzük, hogy szemétszállítók vannak és PPPoE szolgáltatást kínálnak egy csomó Windows Server 2003 gépen. Többé nem úgy hangzik, mintha jó lenne?

    Ehhez egy másik használat, bár nem annyira etikus, az a tény, hogy a biztonsági lyukak az operációs rendszer specifikusak. Például egy portkeresést végez, és az 53-as portot megnyitja, és a gép egy elavult és sérülékeny Bind verziót futtat, önálló esélye van a biztonsági lyuk kiaknázására, mivel a sikertelen kísérlet összeomlik a démonot.

    Hogyan működik az OS ujjlenyomat?

    Amikor az aktuális forgalom passzív elemzését végzi, vagy akár a régi csomagokat is megvizsgálja, az egyik legegyszerűbb, leghatékonyabb módja az OS ujjlenyomatának az első IP-fejlécében a TCP ablakméretének és az Élő élettartamának (TTL). csomagot egy TCP-munkamenetben.

    Íme a népszerűbb operációs rendszerek értékei:

    Operációs rendszer Itt az ideje élni TCP ablakméret
    Linux (Kernel 2.4 és 2.6) 64 5840
    Google Linux 64 5720
    FreeBSD 64 65535
    Windows XP 128 65535
    Windows Vista és 7 (Server 2008) 128 8192
    iOS 12.4 (Cisco útválasztók) 255 4128

    Az operációs rendszerek különböző értékeinek fő oka az, hogy a TCP / IP RFC-k nem határozzák meg az alapértelmezett értékeket. További fontos megjegyezni, hogy a TTL érték nem mindig egyezik a táblázatban megadott értékkel, még akkor is, ha a készülék az egyik felsorolt ​​operációs rendszer valamelyikét futtatja, akkor látja, amikor IP-csomagot küld a hálózaton keresztül a küldő eszköz operációs rendszerében beállítja a TTL-t az operációs rendszer alapértelmezett TTL-jére, de mivel a csomag áthalad az útválasztókon, a TTL-t 1-es értékkel csökkenti. Ezért, ha a 117-es TTL-t látja, ez várhatóan egy 128-as TTL-lel küldött csomag. 11 útválasztót vezetett be a felvétel előtt.

    A tshark.exe használata a legegyszerűbb módja annak, hogy az értékeket láthassa, így ha már van csomagcsomag, győződjön meg róla, hogy telepítve van a Wireshark, majd navigáljon a következőre:

    C: Programfájlok

    Most tartsa lenyomva a Shift gombot, és kattintson a jobb gombbal a wireshark mappára, és válassza ki a nyílt parancsablakot a helyi menüből

    Most típus:

    tshark -r "C: Felhasználók Iaylor Gibb Desktop bla.pcap" "tcp.flags.syn eq 1" -T mezők -e ip.src -e ip.ttl -e tcp.window_size

    Győződjön meg róla, hogy a „C: Felhasználók Iaylor Gibb asztali bla- Miután belépett az Enter-be, az összes SYN-csomagot a rögzítésből könnyebben olvasható táblázatformátumban fogjuk megjeleníteni

    Most ez egy véletlen csomagrögzítés, amit én készítettem, hogy csatlakozzam a How-To Geek webhelyhez, a többi Windows-beszélgetés között két dolgot tudok biztosan megmondani:

    • A helyi hálózatom 192.168.0.0/24
    • Windows 7 dobozban vagyok

    Ha megnézzük a táblázat első sorát, akkor nem fogok hazudni, az IP-címem 192.168.0.84 az én TTL 128 és a TCP ablakmérete 8192, ami megfelel a Windows 7 értékeinek.

    A következő dolog, amit látok, egy 74.125.233.24-es cím, 44-es TTL és 5720 TCP-ablakméret, ha az asztalomra nézek, nincs OS, amelynek TTL-je 44, de azt mondja, hogy a Linux a Google szervereit tartalmazza A futásnak TCP ablakmérete 5720. Az IP-cím gyors internetes keresése után látni fogja, hogy valójában egy Google Server.

    Mi mást használ a tshark.exe fájlhoz, mondja el nekünk a megjegyzéseket.